Ende
Gelände
2021


Chrońmy klimat. Zatrzymajmy węgiel.

Przepraszamy, niestety ta strona nie jest jeszcze dostępna w języku polskim.

FAQ Rückverfolgung

Warum müssen wir Personendaten erfassen?

Zur Rückverfolgung von Corona-Infektionen werden sehr häufig Personendaten erfasst, z.B. in Gaststätten. Wir haben mit viel Energie für eine anonyme Lösung gekämpft, wurden aber letztlich von den Behörden und dem Oberverwaltungsgericht dazu verpflichtet, die Kontaktdaten aller Teilnehmenden der angemeldeten Versammlungen zu erfassen.

Wir hatten uns dagegen gerichtlich gewehrt, aber leider erfolglos. Hintergrund ist, dass die Gesundheitsämter im Falle einer Infektion alle Kontaktpersonen der Person informieren und ggf. unter Quarantäne stellen müssen.

Was muss ich eintragen?

Grundsätzlich müssen wir Name, Adresse und Telefonnummer von euch erfassen und kontrollieren auch, dass in allen diesen Feldern etwas eingetragen wurde. Was ihr dort eintragt, können wir nicht überprüfen. Wir können jedoch nicht ausschließen, dass die Korrektheit der Daten stichprobenartig durch die Behörden kontrolliert wird.

Wie sicher sind meine Daten?

Die Daten sind mit mehreren Verschlüsselungsstufen gesichert und werden auf einem Laptop in einer Anwaltskanzlei gespeichert. Der Anwalt gibt sie nur heraus, wenn Corona-Infektionen nachgewiesen wurden oder er gerichtlich dazu verpflichtet wird. Zudem muss eine von Ende Gelände eingesetzte Person der Herausgabe zustimmen.
Da Durchsuchungen und/oder Beschlagnahmungen in Anwaltskanzleien sehr selten sind, gehen wir nicht davon aus, dass die Behörden in anderen Fällen und zu anderen Zwecken (z. B. zu Zwecken der Strafverfolgung an die Daten kommen).
Selbst wenn sie an die Daten kommen würden, ist es durch unsere mehrstufige Verschlüsselung ziemlich unwahrscheinlich, dass sie diese auslesen können.

Was passiert mit meinen Daten?

Die Daten werden verschlüsselt auf unserem Server gespeichert und – wiederum verschlüsselt – an eine*n Treuhänder*in (ein*e Anwält*in) weitergegeben. Im Falle einer bestätigten Infektion müssen wir die Daten der Kontaktpersonen des infizierten Menschen entschlüsseln und an die Gesundheitsbehörden weitergeben.

Die Kontaktpersonen lassen sich anhand von Listen mit Corona-IDs identifizieren, die wir führen. Außerdem könnte es auf den Camps zu stichprobenartigen Kontrollen durch die Behörden kommen, die kontrollieren möchten, dass tatsächlich (korrekte) Daten hinterlegt sind. Auch in diesem Fall könnte es passieren, dass wir rechtlich gezwungen sind, die Daten einzelner Aktivist*innen herauszugeben. Dies versuchen wir jedoch mit allen Mitteln zu verhindern.

Zu Strafverfolgungszwecken werden wir die Daten nur herausgeben, wenn uns eine richterliche Anordnung dazu zwingt. Die rechtliche Einschätzung dazu ist, dass eine entsprechende richterliche Anordnung nur ergehen wird, wenn es um besonders schwere Straftaten geht. Das ist im Rahmen unserer Aktion und im Rahmen unseres Aktionskonsenses extrem unwahrscheinlich.

Wichtig: *Wir geben immer nur die Kontaktdaten selbst und nicht die Verbindung zwischen Kontaktdaten und Corona-ID heraus.*

Klingt kryptisch? Hier ein Beispiel:
Eine Person wurde positiv auf Corona getestet und wir bekommen vom Gesundheitsamt die Aufforderung, die Daten aller potentiellen Kontaktpersonen herauszugeben. Dann nutzen wir unser anonymes Konzept, um zu sehen, welche IDs mit dieser Person Kontakt hatten. Diese Liste mit IDs wird dann an den Treuhänder gegeben, der daraus eine Liste von Personendaten ohne Corona-IDs macht. Diese wird dann an das Gesundheitsamt weitergegeben.

Wie gehen wir in der Aktion mit diesem Rückverfolgungskonzept um?

Wir haben Verfahren entwickelt, um zu verhindern, dass die Polizei beweisen kann, dass eine bestimmte Corona-ID in der Aktion war. Dazu werdet ihr in den Aktionsplena mehr erfahren. Auf dieser Grundlage könnten die Behörden KEINE rechtskräftige Verurteilung erwirken.

Was wissen die Behörden über meine Teilnahme an der Aktion, wenn meine Daten herausgegeben werden?

Wir sind gezwungen, im Falle eines Corona-Verdachts den Zeitraum eures Aufenthalts auf dem Camp und mögliche Kontaktpersonen herauszugeben.
Allerdings wird in keinem Falle nachvollziehbar sein, an welchen Teilen der Aktion ihr teilgenommen habt. Die Behörden wissen also nicht, ob ihr z.B. in einem Plenum wart, in der Küche geholfen oder Kohleinfrastruktur mit euren Körpern blockiert habt.

Dies ist folgendermaßen sichergestellt:

  1. Auf den Listen mit den Corona-IDs ist nur das Datum, nicht der Ort (Ausnahme: ASt-Listen) oder die Aktivität vermerkt.
  2. Selbst wenn eine Liste in der Aktion beschlagnahmt wird, ist nicht erkennbar, ob diese in der Aktion geschrieben wurde, oder vielleicht in einer Küchenschicht vor der Aktion.
  3. Sobald wir die Listen digitalisiert haben, wird im System nur gespeichert, wer sich mit wem getroffen hat. Daraus lässt sich keine Gruppenzugehörigkeit ablesen, sondern immer nur einzelne Kontaktpaare.
  4. Was ist mit dem anonymen Rückverfolgungskonzept?
    Dieses Treuhandsystem existiert zusätzlich zu unserem bekannten anonymen Rückverfolgungskonzept (https://www.ende-gelaende.org/corona-rueckverfolgung-2020/).
    Dieses anonyme Konzept funktioniert völlig unabhängig davon, ob ihr eure Personendaten hinterlegt oder nicht. Solltet ihr also beispielsweise nicht auf einem Camp sein aber trotzdem an der Rückverfolgung teilnehmen wollen, könnt ihr frei entscheiden, ob ihr eure Daten hinterlegt oder nicht.

Ist die Wahrscheinlichkeit für Repressionen höher, wenn ich meine Daten angebe?

Die Einschätzung vom LegalTeam ist klar: Nein. Die Daten sind sehr gut gesichert und es ist sehr unwahrscheinlich, dass die Daten überhaupt bei Strafverfolgungsbehörden landen. Natürlich ist jedoch nicht auszuschließen, dass ein Gesundheitsamt entgegen geltendem Recht Daten weitergibt. Dass auf Grundlage solcher rechtswidrig weitergegebener Daten jedoch tatsächlich eine Verurteilung erfolgt, ist unwahrscheinlich.

Haben wir versucht uns gegen die Datensammlung zu wehren?

Ja. Wir haben bis hin zum Oberverwaltungsgericht gegen diese Auflage geklagt. Leider wurde uns dabei nicht recht gegeben.

Werden die Daten irgendwie kontrolliert?

Kein Mensch aus unseren Strukturen hat direkten Zugriff auf die Daten. Dementsprechend können wir die Daten inhaltlich nicht kontrollieren, selbst wenn wir es wollten. Wir müssen jedoch bei eurer Ankunft überprüfen, dass Daten zu eurer ID hinterlegt wurden. Wenn dies der Fall ist, erhaltet Ihr ein Armbändchen mit Eurer ID, das Ihr im Camp tragen solltet.

Wer kann auf die Daten zugreifen?

Technisch kann ausschließlich der*die Treuhänder*in (ein*e solidarische*r Anwält*in) auf die Daten zugreifen. Wir haben mit dieser Person einen Vertrag abgeschlossen, in dem genau definiert ist, wann er*sie dies tut. (siehe: “Was passiert mit meinen Daten?”)

Wer ist der*die Treuhänder*in?

Der*die Treuhänder*in ist ein uns gut bekannter, sehr solidarischer Anwalt aus Köln. Aus Sicherheitsgründen für alle Beteiligten werden wir seine Identität nicht preisgeben.

Kann die Polizei mit einer Klage versuchen, zu Zwecken der Strafverfolgung an die Listen zu kommen?

Theoretisch können wir richterlich dazu verpflichtet werden, die Daten herauszugeben. Die Einschätzung des LegalTeams ist jedoch, dass dies nur bei schweren Straftaten passieren würde. In aller Regel werden uns allerdings nur leichte Vergehen vorgeworfen, wie etwa Hausfriedensbruch. Daher: Wenn ihr euch an den Aktionskonsens haltet wird dies relativ sicher nicht passieren.

Wann werden die Daten vernichtet?

Wir vernichten alle Daten 4 Wochen nach Ende der Camps. Konkret überschreiben wir sowohl die Schlüssel zum Entschlüsseln der Daten als auch die Daten selbst mit Nullen. Die Corona-ID-Listen in Papierform werden unmittelbar nach ihrer Digitalisierung vernichtet; diese erfolgt noch während der Campzeitraums.

Wie ist die Verschlüsselung technisch umgesetzt?

Die Daten werden direkt von eurem Gerät über die verschlüsselte SSL-Verbindung an den Server übertragen und direkt im Arbeitsspeicher mit dem PGP-Verfahren verschlüsselt und signiert. Die Website lagert ausschließlich die verschlüsselten Daten und verfügt auch nicht über den privaten Schlüssel um diese zu entschlüsseln. Diese werden regelmäßig über eine sichere sftp-Verbindung auf einen Laptop in der Anwaltskanzlei übertragen.
Ist die Anwält*in  gezwungen die Daten heraus zu geben, entschlüsselt sie nur die Daten, die gefordert sind mit dem privaten PGP-Key, der ausschließlich auf einem verschlüsselten USB-Stick gespeichert ist gleichzeitig wird die Signatur überprüft um Sicherzustellen, dass die Datei wirklich vom Server stammt und nicht verändert wurde.

Es wird keine Verbindung zwischen den Kontaktdaten und der Corona-ID herausgegeben, sondern nur die Liste der Personendaten der Menschen, die
einen Risikokontakt hatten.

Den Code der verwendeten Software findet ihr hier.

Grafische Darstellung des Ablaufs